on 10/03/11 11:18
Tags:
ที่งาน pwn2own ซึ่งเป็นงานแข่งขันการแฮกเบราว์เซอร์ประจำปี มีเบราว์เซอร์สามตัวที่ถูกทดสอบในวันแรกคือ Safari 5.0.4, IE8, และ Chrome 10
ตัว Safari นั้นถูกแฮกโดยบริษัทด้านความปลอดภัยจากฝรั่งเศสที่ชื่อว่า VUPEN โดยเมื่อผู้ทดสอบเข้าหน้าเว็บที่เตรียมเจาะเอาไว้ ทำให้โปรแกรมเครื่องคิดเลขถูกรันขึ้นมา และไฟล์ถูกเขียนลงดิสก์ โดย VUPEN สามารถเจาะผ่านโครงสร้างรักษาความปลอดภัยเช่น Data Execution Prevention (DEP) และ Address Space Layout Randomization (ASLR) ของตัว OS X ไปได้ ทีมงานต้องใช้เวลาสองสัปดาห์เพื่อเตรียมการแฮกนี้
IE8 นั้นก็เช่นเดียวกัน แม้จะมีการใช้งาน sandbox แล้วแต่นักวิจัยจาก Harmony Security ก็สามารถเจาะทะลุออกมาและรันโปรแกรมเครื่องคิดเลขและเขียนไฟล์ลงดิสก์ได้เช่นเดียวกัน โดยนักวิจัยระบุว่าการแฮกนี้ต้องอาศัยช่องโหว่สามจุดของ IE8 และใช้เวลาเตรียมการ 5 ถึง 6 สัปดาห์
Chrome นั้นไม่มีทีมแฮกรายใดเสนอตัวเข้าทดสอบ โดยก่อนหน้านี้ไม่กี่วันนักวิจัยจาก Duo Security เพิ่งแจ้งบั๊กสำคัญไปยังทีม Chrome และได้รับเช็ค 1337 ดอลลาร์จากกูเกิล โดยหากทีมงานรออีกเพียงไม่กี่วันและใช้บั๊กนั้นในการแข่งขันนี้ก็น่าจะได้รับเงินถึง 15,000 ดอลลาร์
ทั้ง Safari และ Chrome ส่งแพตซ์รอบพิเศษเพื่ออุดรูรั่วก่อนการแข่งขันนี้เป็นกรณีพิเศษ ขณะที่ IE8 ไม่มีการแพตซ์เป็นพิเศษแต่อย่างใด
ที่มา - ArsTechnica
Comments
ไหนว่ากันว่าโครม security อ่อนสุด
ผมว่าฟังมาผิดนะครับ เท่าที่รู้ Chrome ยังไม่เคยโดนเจาะได้
เวลาดูสาวชอบดูสาวขาวๆ Sex Sex เวลาดู Notebook ชอบแบบ"ถึกๆดำๆ"
Twitter : @Zerntrino G+ : Zerntrino Plus
จำได้รางๆ ในข่าวเก่าๆ น่ะครับ
ว่ามีการรายงานบั๊กของบราวเซอร์โดยสำนักต่างๆ ซึ่ง chrome ก็มักตรวจเจอเยอะที่สุดอยู่หลายครั้ง
แต่อาจไม่ใช่บั๊กด้านความปลอดภัย..หรือที่จริงต้องดูว่าใครให้ข่าวประกอบ
May the Force Close be with you.
ข่าวประกอบจากผู้สนับสนุน MS
555
มันผิดตั้งแต่เอาจำนวนบั๊กมาตัดสินว่าใครปลอดภัยกว่าแล้วไงครับ
+1
มีแหล่งอ้างอิงที่พูดแบบนั้นไหมครับ? เท่าที่ตาม ๆ มา ผมว่ามันมั่นคงแข็งแรงกว่าเพื่อนแล้วนะ (อีกอย่าง ส่งบั๊กไปให้ทาง Google ก็ได้เงินด้วย) เลยไม่มีการอ้างอิงว่ามีการเจาะ Chrome ได้ (ซึ่งจริง ๆ แล้ว มันก็มีคนเจาะได้ครับ)
1337 นี่มัน leet ชัดๆ
http://www.blognone.com/news/17500
ทุ่มเทมากๆ ส่งแพตซ์พิเศษก่อนแข่งขัน แต่สุดท้ายก็เอาไม่อยู่ (safari) อิๆ
Chrome นั้นไม่ทีมแฮกรายใดเสนอตัวเข้าทดสอบ => เติม มี ใส่หลัง ไม่ ด้วย = ไม่มี
Facebook | Google+ | Heello | Twitter | YouTube
แล้ว Firefox หล่ะ
มือใหม่!! ใหม่จริงๆนะ
Opera ไม่เคยได้เข้าร่วมในงานนี้เลยนิ (แสดงว่าปลอดภัยอยู่มาก ขนาด Hacker ยังไม่สนใจจะแฮกเลย -*-)
My blog
FF Opera ไม่มีนายทุนใหญ่หนุนหลัง ก็ indy แนวๆ ตามๆ กันไป
ต้องรวมตัวกัน FF, Opera, Safari และรายย่อยอื่นๆ
v___v
Safari ไม่ย่อยมั้งครับ
Firefox เงินเยอะมากนะครับ กูเกิลจ่ายปีๆ นึงไม่ต่ำกว่า 70 ล้านดอลลาร์
LewCPE's Google+
จ่ายเพื่ออะไรหรอครับ หิหิ
ใช้ Google เป็น Default Search Engine มั้ง?
แค่นั้นก็เหลือแหล่แล้วครับ
เงินที่ให้ ไปเทียบกับงบพัฒนา chrome ทั้งหมดคงเทียบกันไม่ได้ล่ะครับ google เองก็ไม่ได้ เป็นตัวตั้งตีเชียร์ Firefox อย่างออกนอกหน้า เปรียบไปมันก็เหมือน ภาษา php ล่ะครับมันเทียบไม่ได้เลยกับการตลาดของ .NET ,JAVA ที่เค้าพร้อมดันกันเต็มที่เมื่อเปิดตัว
ผมไม่ทราบงบ Chrome นะครับ แต่ Mozilla มารายได้ 104 ล้านดอลลาร์ในปีที่แล้ว แต่มีรายจ่ายเพียง 61 ดอลลาร์ (1 ล้านดอลลาร์เป็นงบไปสนับสนุนโครงการอื่นๆ นอกมูลนิธิ) (ที่มา)
ที่เห็นได้ชัดคือ "เงินไม่ใช่คอขวด" ของการพัฒนาครับ
LewCPE's Google+
ผมมองประเด็นการตลาด เช่นมียักษ์หนุนหลังด้านการตลาดไหม มี firefox ติดตั้งมาให้เลยใน OS บลาๆ หรือป่าว หรืออะไรก็ว่าไปที่มันทำให้มีการใช้ firefox ในวงกว้างขึ้น ซึ่งผลิตภัณฑ์ยักษ์ใหญ่ๆเค้ามีพร้อมในส่วนผลักดันในจุดนี้แต่ firefox คงทำได้ยากกว่า ผมเลยใช้คำว่า indy ไปเลยดีกว่าเพราะไ่มหวังทำการตลาดมากนัก แต่คุณมองประเด็นงบพัฒนา คุยกันเลย งงๆ ครับ